דליפה חדשה מה-NSA חשפה מידע צבאי סודי ביותר
תוכנו של כונן אשר כלל 100 ג'יגה בייט של נתונים מסווגים במיוחד השייכים לסוכנות לביטחון לאומי האמריקנית ולצבא ארצות הברית הושאר חשוף בענן והגיע לאינטרנט הציבורי ● הדברים מתווספים לתקריות אבטחה חמורות שחוותה הסוכנות בחודשים האחרונים
ה-NSA (ר"ת National Security Agency) לא מפסיקה להפתיע – הפרה ביטחונית חמורה חדשה שנחשפה בחודש שעבר מעידה על כך שמסמכים מסווגים ורגישים של הצבא האמריקני הושארו על שרת הענן הציבורי של אמזון (Amazon), המכונה AWS (ר"ת Amazon Web Services), כך שכל אחד יכול היה לגשת אליהם ואף להוריד את חלקם.
פרטי הדליפה – שהתגלתה בספטמבר 2017 על ידי כריס ויקרי, מנהלת מחקר סיכוני סייבר בחברת UpGuard – צוינו בבלוג של החברה, כפי שדיווח לראשונה ZDNet.
"נתונים קריטיים השייכים למודיעין של צבא ארצות הברית ולפיקוד הביטחון, ה-INSCOM – שיתוף פעולה בין הצבא וסוכנות הביטחון הלאומי של משרד ההגנה, הממונה על איסוף מידע מודיעיני על צבא ארה"ב ומנהיגים פוליטיים – דלפו אל האינטרנט הציבורי וחשפו נתונים פנימיים ווירטואליים, ממערכות המשמשות לתקשורת מסווגת, לכל מי שיש לו חיבור לאינטרנט", כתבו ויקרי ודן או'סליבן, אנליסט לחוסן סייבר, בבלוג של UpGuard.
תכנים תחת הסיווג Top Secre ו-Noforn
ויקרי גילה 47 קבצים, 3 מהם ניתנים להורדה, בתוך ענן האחסון הציבור של AWS. כל שלושת הקבצים הכילו נתוני ביטחון לאומי, חלקם מסווגים במפורש ומסומנים כ-"Top Secret". למרות שהדטה קיבל שם תת-דומיין, ויקרי הצליח לגשת לקבצים על ידי הזנה ישירה של כתובת האתר. לטענתו, ההחלטה לתת שם אחר לתת הדומיין "מספקת מעט עמימות לכל הרעים המבקשים לקבוע את משמעות הנתונים", אך כמובן לא מונעת את חשיפת המידע.
בין הקבצים שהתגלו לציבור, לכאורה, היה כונן קשיח וירטואלי המכיל מסמכים מסווגים שכותרתו Noforn – שמשמעותו, לדברי החוקרים, היא שהוא מכיל חומרים כל כך סודיים עד שארה"ב אפילו לא משתפת אותם עם בעלי ברית זרים. כמו כן נכללו במידע פרטים רגישים על מערכת המכונה Distributed Common Ground System – מערכת מודיעין בשדה הקרב המאפשרת למפקדים בשטח גישה בזמן אמת למודיעין מבצעי מסווג. הקבצים הכילו מפתחות פרטיים וסיסמאות שנשאו סימונים המצביעים על כך שהם שימשו את חברת Invertix – לשעבר קבלן ממשלתי שהתמזג עם Near Infinity בשנת 2013 ושמכונה כיום Altamira.
לדברי או'סליבן וויקרי, הם מאמינים שהחשיפה התרחשה כשהממשלה העבירה את הנתונים ל-Invertix ואמרה כי היא מדגימה כיצד פרוטוקולי ניהול של ספקי צד שלישי הם לעתים קרובות "רוצח שקט" בעבור הגנות הסייבר של הארגון. "למרבה הצער, היה ניתן למנוע לחלוטין את דליפת הענן הזאת, שהיא תוצאה אפשרית של טעויות בתהליך בתוך סביבת ה-IT, שנעדרו ממנו ההליכים הדרושים בכדי להבטיח שמשהו כה חשוב, כמו מאגר נתונים המכיל מידע מסווג, לא יישאר נגיש לציבור", כתבו החוקרים.
סדרת דליפות חמורות ב-NSA
התקרית היא האחרונה בסדרה של דליפות של סודות ממשלתיים שמקורם ב-NSA, והיא יכולה להגביר את הביקורת על כך שהסוכנות אינה מסוגלת לשמור על הנתונים הרגישים שלה.
הסוכנות חוותה בחודשים האחרונים פריצה מסיבית של האקרים, שעל פי ההערכות נזקה גדול יותר מזה שעשה אדוארד סנואודן, עובד לשעבר של הארגון שחשף מסמכים רבים שלו וקיבל מקלט מדיני ברוסיה.
בשנה שעברה השיגה קבוצת ההאקרים סוכני הצל (Shadow Brokers) מספר כלים ששימשו את ה-NSA לצורך ריגול אחרי מדינות אחרות. כמו כן, הוציאו הפורצים מספר קודי פעולה אותנטיים עבור כמה מכלים אלה. האחראים על הפרת האבטחה המסיבית טרם נלכדו, אבל לפי החשדות, קוד שנגנב מה-NSA שימש את הכופרות הנפוצות WannaCry ו-Petya.
דליפות מידע מתוך הארגון החוצה (להבדיל מפריצה מבחוץ פנימה) הן מקור מתגבר של חשיפת מידע מסווג ביותר. סביבות פיתוח ובדיקות מהוות את אחת מנקודות התורפה העיקריות לחשיפה של מידע רגיש. מקרים מפורסמים של ״חורים״ כאלה הם אדוראר סנואודן, HSBC, Sony ועוד רבים אחרים. ארגונים גדולים מתקשים לנהל את סביבות הפיתוח והבדיקות של אפליקציות בצורה יעילה. מצד אחד - הארגון זקוק לגרסאות חדשות כל הזמן כדי לעמוד בתחרות ולספק ערך מוסף ללקוחותיו. מצד שני, רגולציה ארגונית ותהליכים ידניים גורמים לכך שזמן הקצאת הסביבות וריענונן נמדד לרוב בימים רבים ואף בשבועות. אם נוסיף לכך את הצורך במיסוך של מידע רגיש, לפני הנגשתו לאנשי הפיתוח - נקבל מציאות בלתי אפשרית. בשלב זה, רוב הארגונים, במודע או שלא, מבצעים ״קיצורי דרך״ בהליכי הקצאת הסביבות, מדלגים על המורכבות של המיסוך ומקצים מידע רגיש למפתחים, שלא לצורך. עותקים אלו אינם בשליטה מרכזית של אנשי אבטחת המידע, ומועדים לדליפה בזדון או בשוגג. במקרים רבים עותקים אלה ממשיכים להתקיים במערכת שנים לאחר שכבר אין בהם צורך.